Kritische cPanel-Schwachstelle in „Sorry“-Ransomware-Angriffen ausgenutzt
Notfall-Update nach aktiver Ausnutzung
Eine neu veröffentlichte cPanel-Schwachstelle, geführt als CVE-2026-41940, wird laut Forschern und Incident-Berichten massenhaft in Ransomware-Angriffen ausgenutzt, die Websites kompromittieren und Daten verschlüsseln.
In dieser Woche veröffentlichten WHM und cPanel ein Notfall-Update, um eine kritische Authentifizierungs-Bypass-Schwachstelle zu beheben, die es Angreifern ermöglichen kann, auf Control Panels zuzugreifen. WHM und cPanel sind Linux-basierte Hosting-Tools zur Verwaltung von Servern und Websites, wobei WHM die Server-Administration und cPanel den Zugriff auf Website-Backends, Webmail und Datenbanken übernimmt.
Kurz nach der Veröffentlichung des Fixes wurde die Schwachstelle als aktiv in der freien Wildbahn ausgenutzt gemeldet, als Zero-Day, wobei Versuche zur Ausnutzung bis Ende Februar zurückreichen. Die Internet-Sicherheitsbeobachterorganisation Shadowserver sagt, dass mindestens 44.000 IP-Adressen mit cPanel seitdem in fortlaufenden Angriffen kompromittiert wurden.
Mehrere Quellen teilten BleepingComputer mit, dass Hacker die Schwachstelle seit Donnerstag nutzen, um in Server einzudringen und einen in Go geschriebenen Linux-Verschlüsseler zu installieren, der mit der Ransomware-Familie „Sorry“ in Verbindung steht. Meldungen betroffener Websites haben sich seitdem verbreitet, einschließlich Forenbeiträgen von Opfern, die verschlüsselte Dateibeispiele und Inhalte der Lösegeldforderungen teilen. Hunderte kompromittierter Sites wurden bereits von Google indexiert.
Der Linux-Verschlüsseler hängt eine „.sorry“-Erweiterung an verschlüsselte Dateien an und verwendet die ChaCha20-Streamchiffre, wobei der Verschlüsselungsschlüssel durch einen eingebetteten öffentlichen RSA-2048-Schlüssel geschützt wird. Ransomware-Experte Rivitna sagt, dass eine Entschlüsselung ohne den passenden privaten RSA-2048-Schlüssel nicht möglich ist.
„In jedem Ordner wird eine Lösegeldnotiz namens README.md erstellt, die das Opfer anweist, den Täter über Tox zu kontaktieren, um eine Lösegeldzahlung zu verhandeln“, heißt es in dem Bericht. Die Notiz ist Berichten zufolge bei den Opfern dieser Kampagne identisch und enthält die Tox-ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Forscher stellten fest, dass die aktuelle Kampagne nicht mit einer Ransomware-Operation aus dem Jahr 2018 in Verbindung steht, die ebenfalls die „.sorry“-Erweiterung verwendete.
Alle cPanel- und WHM-Nutzer werden dringend aufgefordert, die verfügbaren Sicherheitsupdates sofort zu installieren, da die Angriffe erst beginnen und in den kommenden Tagen und Wochen voraussichtlich zunehmen werden.
Quellen: